Avez-vous sécurisé votre Active Directory ? L’EASM représente votre prochaine étape en termes de sécurité des mots de passe.

En matière de cybersécurité, il est important de s’assurer de bien verrouiller les bases dans un premier temps. Vous pouvez acheter un système de sécurité ultramoderne pour votre maison, elle sera toujours la cible de criminels si vous laissez les portes et les fenêtres grandes ouvertes chaque fois que vous sortez. Il en va de même pour la sécurité des mots de passe. Il faut vraiment commencer par la porte d’entrée d’une organisation : Active Directory.

Si votre Active Directory est largement ouvert aux attaques basées sur les informations d’identification, c’est ce problème qu’il faut résoudre en premier lieu. Mais une fois que ces principes fondamentaux sont couverts, vous pouvez envisager de faire passer votre sécurité au niveau supérieur – en comprenant les raisons des fuites d’informations d’identification et en examinant des cas individuels ou des groupes d’utilisateurs. C’est là que la gestion de la surface d’attaque externe (EASM) entre en jeu et ajoute une nouvelle dimension à votre arsenal défensif.

Qu’entend-on par un “Active Directory sécurisé” ?

Tout d’abord, précisons ce que nous entendons par un Active Directory “sécurisé”. Vous devriez avoir mis en place une politique qui empêche les utilisateurs finaux de créer des mots de passe faibles, vulnérables aux attaques par force brute et par dictionnaire. Cette politique doit bloquer les expressions courantes telles que “admin”, les suites de clavier telles que “qwerty”,et utiliser un dictionnaire personnalisé pour bloquer les mots et les expressions propres à votre organisation et à votre secteur d’activité. En outre, la politique doit guider et encourager les utilisateurs finaux à créer des passphrases (plus faciles à retenir que les mots de passe) de plus de 15 caractères.

Les mots de passe faibles peuvent être bloqués au sein de votre Active Directory, mais les mots de passe forts peuvent également être compromis, notamment en cas de réutilisation. Votre organisation devrait disposer d’un outil capable de scanner votre Active Directory en permanence à la recherche de mots de passe compromis. Par exemple, Specops Password Policy dispose de la fonction Breached Password Protection qui effectue un scan quotidien de votre Active Directory et le compare à notre base de données de plus de 4 milliards de mots de passe uniques compromis connus. Notre base de données est mise à jour quotidiennement et comprend des listes d’identifiants compromis connus, des mots de passe provenant de notre système de surveillance des attaques par force brute en temps réel, ainsi que des données volées par des logiciels malveillants provenant de notre équipe de renseignements sur les menaces dirigée par des humains.

Il est essentiel que vos comptes Active Directory soient sécurisés (idéalement avec Specops Password Policy !) car ils sont les plus vulnérables et offrent le plus grand accès à votre organisation. Vous ne savez pas si vos bases sont couvertes ? Lancez un scan en lecture seule de votre Active Directory pour détecter les vulnérabilités liées aux mots de passe et obtenez un rapport exportable avec notre outil gratuit : Specops Password Auditor. Mais si vous êtes sûr que votre porte d’entrée est bien verrouillée, il est tout à fait utile d’étudier les causes possibles des fuites de données d’identification – alors découvrons plus en avant l’EASM.

Le fonctionnement de l’EASM

Votre surface d’attaque est constituée des parties de votre organisation qui sont « exposées » au public via Internet. Il s’agit notamment des adresses IP, des enregistrements DNS, des points de terminaison des applications, des sites web, des API, des points d’accès (administratifs) à distance, des bases de données, des détails de cryptage, des services de partage de fichiers et même des informations d’identification volées et vendues sur le dark web. Cela représente beaucoup de choses à prendre en compte. En clair, votre surface d’attaque comprend tout ce qui pourrait être utilisé par un pirate pour accéder aux systèmes ou aux données sensibles de votre organisation.

Même dans une organisation relativement petite, la surface d’attaque peut facilement devenir importante, surtout au fil du temps. Il est difficile de suivre les différentes applications SaaS, les endpoints et les mélanges entre anciennes et nouvelles infrastructures répartis dans des organisations géographiquement dispersées. C’est là que l’EASM peut vous apporter son aide. Pour commencer, une solution EASM peut vous donner une vue précise des actifs connus (et inconnus) sur l’ensemble de votre surface d’attaque. Cela diffère du scan des vulnérabilités, qui se contente d’analyser les actifs connus.

Les solutions EASM utilisent la mise à jour automatisée et continue pour identifier de manière proactive les vulnérabilités, les mauvaises configurations et autres problèmes de sécurité. Une telle solution peut vous permettre d’évaluer votre présence en ligne et d’identifier les zones d’ombre potentielles ou bien les actifs inconnus qui pourraient être vulnérables à des attaques. Les équipes de sécurité peuvent également utiliser les fonctions de notation des risques et de reporting pour les aider à hiérarchiser les problèmes et à y remédier en fonction de leur impact potentiel. Plus important encore, lorsque les attaquants effectueront leur reconnaissance pour évaluer les vulnérabilités de votre surface d’attaque, ils constateront qu’elle est « propre » et se dirigeront probablement vers une cible plus facile.

Cinq façons pour l’EASM de renforcer la sécurité de vos mots de passe

Les solutions EASM peuvent surveiller de manière proactive les fuites d’informations d’identification, détecter les comptes compromis, hiérarchiser les réponses et prendre les mesures correctives appropriées. Les organisations peuvent ainsi atténuer les risques liés aux fuites de données d’identification et renforcer leurs défenses globales de cybersécurité contre les attaques par mot de passe. Voici cinq domaines clés dans lesquels l’EASM peut contribuer à renforcer la sécurité de vos mots de passe :

1. Intégration des renseignements sur les menaces : les solutions EASM s’intègrent souvent à des sources de renseignements sur les menaces qui qui surveillent le dark web à la recherche de fuites d’informations d’identification. Ces sources collectent et analysent d’énormes quantités de données provenant de divers forums et marketplaces clandestines où les cybercriminels échangent et vendent des informations d’identification volées. Cela peut faciliter la recherche de la source de la fuite.

• Informations contextuelles: l’EASM peut fournir des informations essentielles sur le contexte de la fuite de données d’identification. Il s’agit de détails comme l’origine de la fuite, l’heure de la compromission et l’acteur de la menace impliqué (s’il est connu). Ces informations aident les organisations à comprendre la gravité et l’impact potentiel de la fuite de données d’identification, ce qui leur permet de prioriser leurs réponses et d’allouer des ressources en conséquence.

• Identifier les utilisateurs à risque : il est utile de trouver des mots de passe compromis lors d’un audit, car les utilisateurs finaux concernés peuvent alors être informés de la nécessité de changer leurs mots de passe. Toutefois, cela ne signifie pas nécessairement que tous ces utilisateurs ont eu un comportement à risque. L’EASM, avec l’aide de la Threat Intelligence, peut aider à fournir un contexte supplémentaire permettant de savoir quels utilisateurs commettent des actions négligentes de façon répétée et mettent leurs informations d’identification en danger.

• Evaluation des risques: des socres de risque peuvent être attribués aux informations d’identification divulguées en fonction de divers facteurs, tels que la sensibilité des comptes compromis et l’impact potentiel sur l’organisation. Ces scores de risque aident les organisations à hiérarchiser leur réponse et à se concentrer d’abord sur les fuites d’informations les plus critiques. En se concentrant sur les informations d’identification à haut risque, les organisations réduisent alors la probabilité d’une attaque préjudiciable.

• Alerte et remédiation : les solutions EASM fournissent des alertes et des notifications en temps réel en cas de détection de fuites d’informations d’identification. Ces alertes peuvent être envoyées aux équipes de sécurité, aux administrateurs ou aux utilisateurs concernés, afin de les inciter à prendre des mesures immédiates. La solution EASM peut recommander des actions telles que la réinitialisation des mots de passe, l’activation de l’authentification multifactorielle ou le blocage de l’accès aux comptes compromis. Cette approche proactive aide les organisations à réagir rapidement aux fuites d’informations d’identification et à empêcher l’accès non autorisé à leurs systèmes et à leurs données.

Comment l’EASM renforce la sécurité de vos mots de passe existants

Un outil comme Specops Password Policy avec Breached Password Protection peut signaler qu’un utilisateur au sein de l’organisation utilise un mot de passe compromis. Il recevra alors une notification l’informant qu’il doit changer son mot de passe. Toutefois, l’équipe informatique d’une organisation pourrait être intéressée par une investigation plus approfondie afin de résoudre les causes profondes des fuites et d’ajuster ses mesures de prévention. Par exemple, le vol de nombreux mots de passe d’utilisateurs finaux par des logiciels malveillants constitue une menace différente de celle des mots de passe divulgués à la suite d’infractions commises par des tiers.

Imaginons un scénario dans lequel le mot de passe d’un utilisateur final a été signalé, car un scan continu a révélé qu’il était compromis. La menace immédiate a été écartée. Cependant, un administrateur pourrait avoir des soupçons si le même petit groupe d’utilisateurs finaux a dû changer plusieurs mots de passe compromis au cours de l’année, à un rythme beaucoup plus élevé que l’employé moyen. Cela pourrait indiquer qu’un groupe d’utilisateurs a besoin d’une formation supplémentaire sur la façon de créer des mots de passe forts, mémorisables et uniques, ou d’une sensibilisation aux risques liés à la réutilisation des mots de passe.

Il est également utile de savoir où les informations d’identification ont été découvertes afin de déterminer la cause probable de la fuite. Une enquête plus approfondie pourrait montrer que les mots de passe ont été récemment trouvés dans un logiciel de vol de botnet et mis en vente sur le dark web. Il pourrait s’agir d’une raison suffisante pour vérifier si les appareils des utilisateurs ne sont pas infectés par un voleur de botnet du type spécifié. L’équipe informatique pourrait également vouloir mettre à jour son antivirus ou développer les efforts de sensibilisation à la sécurité et à la formation sur la manière d’identifier les sources de téléchargement fiables. 

Cartographiez votre surface d’attaque dès aujourd’hui

En ajoutant les fonctionnalités de l’EASM à vos solutions existantes de sécurité des mots de passe Active Directory, vous pourrez surveiller de manière proactive les fuites d’informations d’identification liées au domaine de votre organisation, enquêter sur la source des fuites de données et cibler les bons employés à sensibiliser aux risques associés aux fuites d’informations d’identification. Cela permettra d’atténuer l’impact potentiel des attaques basées sur les informations d’identification et de renforcer vos défenses globales en matière de cybersécurité. Vous souhaitez savoir comment l’EASM pourrait s’appliquer à votre organisation ? Obtenez une analyse gratuite de la surface d’attaque et nous établirons la carte de votre situation actuelle.